Une technologie de création de fausses empreintes digitales met en lumière la vulnérabilité des systèmes biométriques

Une équipe de recherche de l’université de New York a mis au point un algorithme de machine learning (apprentissage machine) qui permet de générer des images de fausses empreintes digitales qui peuvent berner un système d’authentification par empreinte digitale.

Dans le cadre de cette étude [PDF], afin de générer ces fausses empreintes appelées DeepMasterPrints, les chercheurs ont utilisé la méthode d’évolution de la variable latente basée sur un réseau accusatoire génératif qui confronte deux réseaux de neurones. Le premier réseau génère des images de fausses empreintes alors que le second se charge de détecter ces images de fausses empreintes. Ainsi, les deux systèmes se nourrissent de leurs apprentissages : le second devient de plus en plus performant à détecter les fausses images et le premier s’améliore pour créer des images de plus en plus convaincantes. Grâce à ce travail, l’équipe de recherche a réussi à produire des empreintes qui correspondent aux empreintes d’une personne sur cinq sur la planète. Et les empreintes générées ont dupé le système VeriFinger de l’entreprise Neurotechnology, largement utilisé dans le monde.

Ceci représente évidemment une menace importante pour les systèmes biométriques se servant des empreintes digitales comme moyen d’authentification. Le but de cette étude est d’ailleurs de pointer du doigts ces failles avant que des hackers n’utilisent cette technologie à mauvais escient. Les chercheurs expliquent clairement que s’il est aujourd’hui possible de duper ces systèmes biométriques (par exemple les téléphones portables avec reconnaissance d’empreinte digitale) c’est parce les détecteurs d’empreintes utilisés sur ce type d’appareils sont de petite taille pour prendre moins d’espace, ce qui leur permet d’identifier seulement une partie de l’empreinte et non pas l’empreinte dans sa totalité.

Les tests réalisés pour cette étude ont été fait avec des images. La prochaine étape sera de faire des tests physiques pour confirmer la faisabilité d’une « attaque » avec une fausse empreinte. Cette éventualité semble tout de même assez complexe car il faut créer une copie physique de la fausse empreinte (par imprimante 3D ou moule inversé par exemple) et surtout maitriser la technique spécifique de chaque fabricant.

Toujours est-il que la menace est identifiée et pourrait s’appliquer aux autres systèmes d’identification biométrique comme la reconnaissance faciale ou la reconnaissance d’iris. La mise en lumière de cette menace pourra permettre aux fabricants de se protéger, de trouver des moyens d’identification biométrique plus performants (notamment avec des détecteurs plus grands ou ayant une meilleure résolution) et de créer des systèmes capables d’identifier les fausses empreintes.

Partager:
Retour vers toutes les nouvelles

Laisser un commentaire